AMA veri bağlayıcısı aracılığıyla Özel Günlükler - Belirli uygulamalardan Microsoft Sentinel'e veri alımını yapılandırma

Microsoft Sentinel'in AMA veri bağlayıcısı aracılığıyla Özel Günlükler, birkaç farklı ağ ve güvenlik uygulaması ve cihazından metin dosyalarından günlüklerin toplanmasını destekler.

Bu makale, bu veri bağlayıcısını yapılandırırken sağlamanız gereken her bir güvenlik uygulamasına özgü yapılandırma bilgilerini sağlar. Bu bilgiler uygulama sağlayıcıları tarafından sağlanır. Güncelleştirmeler, daha fazla bilgi için veya güvenlik uygulamanız için bilgi kullanılamadığında sağlayıcıya başvurun. Bağlayıcıyı yükleme ve yapılandırma yönergeleri için bkz . Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma, ancak her uygulama için benzersiz bilgiler sağlamak için bu makaleye geri bakın.

Bu makalede, bağlayıcıyı kullanmadan bu uygulamalardan Microsoft Sentinel çalışma alanınıza veri alma işlemi de gösterilir. Bu adımlar Azure İzleyici Aracısı'nın yüklenmesini içerir. Bağlayıcı yüklendikten sonra, kurulumu tamamlamak için bu makalenin devamında gösterilen uygulamanıza uygun yönergeleri kullanın.

Özel metin günlüklerini topladığınız cihazlar iki kategoriye ayrılır:

• Windows veya Linux makinelerinde yüklü uygulamalar

  Uygulama günlük dosyalarını yüklü olduğu makinede depolar. Bu günlükleri toplamak için Azure İzleyici Aracısı aynı makineye yüklenir.

• Kapalı (genellikle Linux tabanlı) cihazlarda kendi kendine bulunan gereçler

  Bu gereçler günlüklerini bir dış syslog sunucusunda depolar. Bu günlükleri toplamak için Azure İzleyici Aracısı bu dış syslog sunucusuna yüklenir ve genellikle günlük ileticisi olarak adlandırılır.

Bu uygulamaların her biri için ilgili Microsoft Sentinel çözümü hakkında daha fazla bilgi için ürün türü>çözüm şablonları için Azure Market arayın veya Microsoft Sentinel'deki İçerik hub'ından çözümü gözden geçirin.

Genel yönergeler

Uygulamaları ve gereçleri barındıran makinelerden günlükleri toplama adımları genel bir deseni izler:

1. Hedef tabloyu Log Analytics'te (veya Defender portalındaysanız Gelişmiş Tehdit Avcılığı) oluşturun.

2. Uygulamanız veya gereciniz için veri toplama kuralını (DCR) oluşturun.

3. Azure İzleyici Aracısı'nı uygulamayı barındıran makineye veya henüz dağıtılmadıysa gereçlerden günlükleri toplayan dış sunucuya (günlük ileticisi) dağıtın.

4. Uygulamanızda günlüğe kaydetmeyi yapılandırın. Bir gereçse, günlüklerini Azure İzleyici Aracısı'nın yüklü olduğu dış sunucuya (günlük ileticisi) gönderecek şekilde yapılandırın.

Ama veri bağlayıcısı aracılığıyla Özel Günlükler'i kullandığınızda bu genel adımlar (sonuncusu hariç) otomatikleştirilmiştir ve Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma bölümünde ayrıntılı olarak açıklanmıştır.

Uygulama türü başına belirli yönergeler

Bu adımları tamamlamak için ihtiyacınız olan uygulama başına bilgiler bu makalenin geri kalanında sunulmuştur. Bu uygulamalardan bazıları kendi içinde bulunan gereçlerdedir ve günlük ileticisi kullanımından başlayarak farklı bir yapılandırma türü gerektirir.

Her uygulama bölümü aşağıdaki bilgileri içerir:

• Kullanıyorsanız, AMA veri bağlayıcısı aracılığıyla Özel Günlüklerin yapılandırmasına sağlamak için benzersiz parametreler.
• Bağlayıcıyı kullanmadan verileri el ile almak için gereken yordamın ana hattı. Bu yordamın ayrıntıları için bkz . Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma.
• Kaynak uygulamaları veya cihazları yapılandırmaya yönelik belirli yönergeler ve/veya sağlayıcıların web sitelerindeki yönergelerin bağlantıları. Bağlayıcı kullanılıp kullanılmaması fark etmeksizin bu adımlar atılmalıdır.

Apache HTTP Sunucusu

Apache HTTP Sunucusundan günlük iletilerini almak için şu adımları izleyin:

1. Tablo adı: ApacheHTTPServer_CL

2. Günlük depolama konumu: Günlükler, uygulamanın konak makinesinde metin dosyaları olarak depolanır. Dosyaları toplamak için AMA'yi aynı makineye yükleyin.

   Varsayılan dosya konumları ("filePatterns"):

   • Windows: "C:\Server\bin\log\Apache24\logs\*.log"
   • Linux: "/var/log/httpd/*.log"

3. DCR'yi Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma başlığı altında verilen yönergelere göre oluşturun.

   DCR şablonundaki {TABLE_NAME} ve {LOCAL_PATH_FILE} yer tutucularını 1. ve 2. adımlardaki değerlerle değiştirin. Diğer yer tutucuları yönlendirilmiş olarak değiştirin.

Başa dön

Apache Tomcat

Apache Tomcat'ten günlük iletilerini almak için şu adımları izleyin:

1. Tablo adı: Tomcat_CL

2. Günlük depolama konumu: Günlükler, uygulamanın konak makinesinde metin dosyaları olarak depolanır. Dosyaları toplamak için AMA'yi aynı makineye yükleyin.

   Varsayılan dosya konumları ("filePatterns"):

   • Linux: "/var/log/tomcat/*.log"

3. DCR'yi Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma başlığı altında verilen yönergelere göre oluşturun.

   DCR şablonundaki {TABLE_NAME} ve {LOCAL_PATH_FILE} yer tutucularını 1. ve 2. adımlardaki değerlerle değiştirin. Diğer yer tutucuları yönlendirilmiş olarak değiştirin.

Başa dön

Cisco Meraki

Cisco Meraki'den günlük iletilerini almak için şu adımları izleyin:

1. Tablo adı: meraki_CL

2. Günlük depolama konumu: Dış syslog sunucunuzda bir günlük dosyası oluşturun. Dosyaya syslog daemon yazma izinleri verin. Henüz yüklü değilse ama'yi dış syslog sunucusuna yükleyin. Bu dosya adını ve yolu bağlayıcıdaki Dosya deseni alanına veya DCR'deki yer tutucunun {LOCAL_PATH_FILE} yerine girin.

3. Syslog daemon'ını Meraki günlük iletilerini geçici bir metin dosyasına aktaracak şekilde yapılandırın, böylece AMA bunları toplayabilir.

   • rsyslog
   • syslog-ng

   1. rsyslog daemon için özel bir yapılandırma dosyası oluşturun ve dosyasına /etc/rsyslog.d/10-meraki.confkaydedin. Bu yapılandırma dosyasına aşağıdaki filtreleme koşullarını ekleyin:

      if $rawmsg contains "flows" then {
          action(type="omfile" file="<LOG_FILE_Name>")
          stop
      }
      if $rawmsg contains "urls" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ids-alerts" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "events" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_start" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      } 
      if $rawmsg contains "ip_flow_end" then { 
          action(type="omfile" file="<LOG_FILE_Name>") 
          stop 
      }
      

      (değerini, oluşturduğunuz günlük dosyasının adıyla değiştirin <LOG_FILE_Name> .)

      rsyslog için filtreleme koşulları hakkında daha fazla bilgi edinmek için bkz . rsyslog: Filtre koşulları. Yapılandırmayı kendi yüklemenize göre test edip değiştirmenizi öneririz.

   2. rsyslog'un yeniden başlatılması. Tipik komut söz dizimi şeklindedir systemctl restart rsyslog.

4. DCR'yi Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma başlığı altında verilen yönergelere göre oluşturun.

   • Sütun adını sütun adıyla "RawData" "Message"değiştirin.

   • transformKql değerini değeriyle "source" "source | project-rename Message=RawData"değiştirin.

   • {TABLE_NAME} DCR şablonundaki ve {LOCAL_PATH_FILE} yer tutucularını 1. ve 2. adımlardaki değerlerle değiştirin. Diğer yer tutucuları yönlendirilmiş olarak değiştirin.

5. Syslog bağlantı noktalarını açmak için Azure İzleyici Aracısı'nın yüklü olduğu makineyi yapılandırın ve syslog daemon'unu dış kaynaklardan gelen iletileri kabul etmek üzere yapılandırın. Bu yapılandırmayı otomatikleştirmeye yönelik ayrıntılı yönergeler ve betik için bkz . Günlük ileticisini günlükleri kabul etmek üzere yapılandırma.

6. Cisco Meraki cihazlarını yapılandırın ve bağlayın: Cisco tarafından syslog iletileri göndermek için sağlanan yönergeleri izleyin. Azure İzleyici Aracısı'nın yüklü olduğu sanal makinenin IP adresini veya ana bilgisayar adını kullanın.

Başa dön

JBoss Kurumsal Uygulama Platformu

JBoss Enterprise Application Platform'dan günlük iletilerini almak için şu adımları izleyin:

1. Tablo adı: JBossLogs_CL

2. Günlük depolama konumu: Günlükler, uygulamanın konak makinesinde metin dosyaları olarak depolanır. Dosyaları toplamak için AMA'yi aynı makineye yükleyin.

   Varsayılan dosya konumları ("filePatterns") - Yalnızca Linux:

   • Tek başına sunucu: "{EAP_HOME}/standalone/log/server.log"
   • Yönetilen etki alanı: "{EAP_HOME}/domain/servers/{SERVER_NAME}/log/server.log"

3. DCR'yi Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma başlığı altında verilen yönergelere göre oluşturun.

   DCR şablonundaki {TABLE_NAME} ve {LOCAL_PATH_FILE} yer tutucularını 1. ve 2. adımlardaki değerlerle değiştirin. Diğer yer tutucuları yönlendirilmiş olarak değiştirin.

Başa dön

JuniperIDP

JuniperIDP'den günlük iletilerini almak için şu adımları izleyin:

1. Tablo adı: JuniperIDP_CL

2. Günlük depolama konumu: Dış syslog sunucunuzda bir günlük dosyası oluşturun. Dosyaya syslog daemon yazma izinleri verin. Henüz yüklü değilse ama'yi dış syslog sunucusuna yükleyin. Bu dosya adını ve yolu bağlayıcıdaki Dosya deseni alanına veya DCR'deki yer tutucunun {LOCAL_PATH_FILE} yerine girin.

3. Syslog daemon'ını JuniperIDP günlük iletilerini geçici bir metin dosyasına aktaracak şekilde yapılandırın, böylece AMA bunları toplayabilir.

   • rsyslog
   • syslog-ng

   1. klasörde rsyslog daemon /etc/rsyslog.d/ için aşağıdaki filtreleme koşullarıyla özel yapılandırma dosyası oluşturun:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Değerini, temsil edilen nesnelerin gerçek adlarıyla değiştirin<parameters>. <> LOG_FILE_NAME, 2. adımda oluşturduğunuz dosyadır.)

   2. rsyslog'un yeniden başlatılması. Tipik komut söz dizimi şeklindedir systemctl restart rsyslog.

4. DCR'yi Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma başlığı altında verilen yönergelere göre oluşturun.

   • Sütun adını sütun adıyla "RawData" "Message"değiştirin.

   • {TABLE_NAME} DCR şablonundaki ve {LOCAL_PATH_FILE} yer tutucularını 1. ve 2. adımlardaki değerlerle değiştirin. Diğer yer tutucuları yönlendirilmiş olarak değiştirin.

   • transformKql değerini "source" aşağıdaki Kusto sorgusuyla değiştirin (çift tırnak içine alınmış):

     source | parse RawData with tmp_time " " host_s " " ident_s " " tmp_pid " " msgid_s " " extradata | extend dvc_os_s = extract("\\[(junos\\S+)", 1, extradata) | extend event_end_time_s = extract(".*epoch-time=\"(\\S+)\"", 1, extradata) | extend message_type_s = extract(".*message-type=\"(\\S+)\"", 1, extradata) | extend source_address_s = extract(".*source-address=\"(\\S+)\"", 1, extradata) | extend destination_address_s = extract(".*destination-address=\"(\\S+)\"", 1, extradata) | extend destination_port_s = extract(".*destination-port=\"(\\S+)\"", 1, extradata) | extend protocol_name_s = extract(".*protocol-name=\"(\\S+)\"", 1, extradata) | extend service_name_s = extract(".*service-name=\"(\\S+)\"", 1, extradata) | extend application_name_s = extract(".*application-name=\"(\\S+)\"", 1, extradata) | extend rule_name_s = extract(".*rule-name=\"(\\S+)\"", 1, extradata) | extend rulebase_name_s = extract(".*rulebase-name=\"(\\S+)\"", 1, extradata) | extend policy_name_s = extract(".*policy-name=\"(\\S+)\"", 1, extradata) | extend export_id_s = extract(".*export-id=\"(\\S+)\"", 1, extradata) | extend repeat_count_s = extract(".*repeat-count=\"(\\S+)\"", 1, extradata) | extend action_s = extract(".*action=\"(\\S+)\"", 1, extradata) | extend threat_severity_s = extract(".*threat-severity=\"(\\S+)\"", 1, extradata) | extend attack_name_s = extract(".*attack-name=\"(\\S+)\"", 1, extradata) | extend nat_source_address_s = extract(".*nat-source-address=\"(\\S+)\"", 1, extradata) | extend nat_source_port_s = extract(".*nat-source-port=\"(\\S+)\"", 1, extradata) | extend nat_destination_address_s = extract(".*nat-destination-address=\"(\\S+)\"", 1, extradata) | extend nat_destination_port_s = extract(".*nat-destination-port=\"(\\S+)\"", 1, extradata) | extend elapsed_time_s = extract(".*elapsed-time=\"(\\S+)\"", 1, extradata) | extend inbound_bytes_s = extract(".*inbound-bytes=\"(\\S+)\"", 1, extradata) | extend outbound_bytes_s = extract(".*outbound-bytes=\"(\\S+)\"", 1, extradata) | extend inbound_packets_s = extract(".*inbound-packets=\"(\\S+)\"", 1, extradata) | extend outbound_packets_s = extract(".*outbound-packets=\"(\\S+)\"", 1, extradata) | extend source_zone_name_s = extract(".*source-zone-name=\"(\\S+)\"", 1, extradata) | extend source_interface_name_s = extract(".*source-interface-name=\"(\\S+)\"", 1, extradata) | extend destination_zone_name_s = extract(".*destination-zone-name=\"(\\S+)\"", 1, extradata) | extend destination_interface_name_s = extract(".*destination-interface-name=\"(\\S+)\"", 1, extradata) | extend packet_log_id_s = extract(".*packet-log-id=\"(\\S+)\"", 1, extradata) | extend alert_s = extract(".*alert=\"(\\S+)\"", 1, extradata) | extend username_s = extract(".*username=\"(\\S+)\"", 1, extradata) | extend roles_s = extract(".*roles=\"(\\S+)\"", 1, extradata) | extend msg_s = extract(".*message=\"(\\S+)\"", 1, extradata) | project-away RawData
     

5. Syslog bağlantı noktalarını açmak için Azure İzleyici Aracısı'nın yüklü olduğu makineyi yapılandırın ve syslog daemon'unu dış kaynaklardan gelen iletileri kabul etmek üzere yapılandırın. Bu yapılandırmayı otomatikleştirmeye yönelik ayrıntılı yönergeler ve betik için bkz . Günlük ileticisini günlükleri kabul etmek üzere yapılandırma.

6. Juniper IDP aletini bir dış sunucuya syslog iletileri gönderecek şekilde yapılandırma yönergeleri için bkz . SRX Başlarken - Sistem Günlüğünü Yapılandır..

Başa dön

MarkLogic Audit

MarkLogic Audit'ten günlük iletilerini almak için şu adımları izleyin:

1. Tablo adı: MarkLogicAudit_CL

2. Günlük depolama konumu: Günlükler, uygulamanın konak makinesinde metin dosyaları olarak depolanır. Dosyaları toplamak için AMA'yi aynı makineye yükleyin.

   Varsayılan dosya konumları ("filePatterns"):

   • Windows: "C:\Program Files\MarkLogic\Data\Logs\AuditLog.txt"
   • Linux: "/var/opt/MarkLogic/Logs/AuditLog.txt"

3. DCR'yi Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma başlığı altında verilen yönergelere göre oluşturun.

   DCR şablonundaki {TABLE_NAME} ve {LOCAL_PATH_FILE} yer tutucularını 1. ve 2. adımlardaki değerlerle değiştirin. Diğer yer tutucuları yönlendirilmiş olarak değiştirin.

4. Günlük yazabilmesi için MarkLogic Audit'i yapılandırın: (MarkLogic belgelerinden)

   1. Tarayıcınızı kullanarak MarkLogic Admin arabirimine gidin.
   2. Gruplar > group_name > Denetim altında Yapılandırmayı Denetle ekranını açın.
   3. Denetim Etkin radyo düğmesini işaretleyin. Etkin olduğundan emin olun.
   4. denetim olayını ve/veya istenen kısıtlamaları yapılandırın.
   5. Tamam'ı seçerek doğrulayın.
   6. Daha fazla ayrıntı ve yapılandırma seçenekleri için MarkLogic belgelerine bakın.

Başa dön

MongoDB Denetimi

MongoDB Denetimi'nden günlük iletilerini almak için şu adımları izleyin:

1. Tablo adı: MongoDBAudit_CL

2. Günlük depolama konumu: Günlükler, uygulamanın konak makinesinde metin dosyaları olarak depolanır. Dosyaları toplamak için AMA'yi aynı makineye yükleyin.

   Varsayılan dosya konumları ("filePatterns"):

   • Windows: "C:\data\db\auditlog.json"
   • Linux: "/data/db/auditlog.json"

3. DCR'yi Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma başlığı altında verilen yönergelere göre oluşturun.

   DCR şablonundaki {TABLE_NAME} ve {LOCAL_PATH_FILE} yer tutucularını 1. ve 2. adımlardaki değerlerle değiştirin. Diğer yer tutucuları yönlendirilmiş olarak değiştirin.

4. MongoDB'yi günlükleri yazacak şekilde yapılandırın:

   1. Windows için yapılandırma dosyasını mongod.cfgdüzenleyin. Linux için, mongod.conf.
   2. parametresini dbpath olarak data/dbayarlayın.
   3. parametresini path olarak /data/db/auditlog.jsonayarlayın.
   4. Daha fazla parametre ve ayrıntı için MongoDB belgelerine bakın.

Başa dön

NGINX HTTP Sunucusu

NGINX HTTP Sunucusundan günlük iletilerini almak için şu adımları izleyin:

1. Tablo adı: NGINX_CL

2. Günlük depolama konumu: Günlükler, uygulamanın konak makinesinde metin dosyaları olarak depolanır. Dosyaları toplamak için AMA'yi aynı makineye yükleyin.

   Varsayılan dosya konumları ("filePatterns"):

   • Linux: "/var/log/nginx.log"

3. DCR'yi Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma başlığı altında verilen yönergelere göre oluşturun.

   DCR şablonundaki {TABLE_NAME} ve {LOCAL_PATH_FILE} yer tutucularını 1. ve 2. adımlardaki değerlerle değiştirin. Diğer yer tutucuları yönlendirilmiş olarak değiştirin.

Başa dön

Oracle WebLogic Server

Oracle WebLogic Server'dan günlük iletilerini almak için şu adımları izleyin:

1. Tablo adı: OracleWebLogicServer_CL

2. Günlük depolama konumu: Günlükler, uygulamanın konak makinesinde metin dosyaları olarak depolanır. Dosyaları toplamak için AMA'yi aynı makineye yükleyin.

   Varsayılan dosya konumları ("filePatterns"):

   • Windows: "{DOMAIN_NAME}\Servers\{SERVER_NAME}\logs*.log"
   • Linux: "{DOMAIN_HOME}/servers/{SERVER_NAME}/logs/*.log"

3. DCR'yi Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma başlığı altında verilen yönergelere göre oluşturun.

   DCR şablonundaki {TABLE_NAME} ve {LOCAL_PATH_FILE} yer tutucularını 1. ve 2. adımlardaki değerlerle değiştirin. Diğer yer tutucuları yönlendirilmiş olarak değiştirin.

Başa dön

PostgreSQL Olayları

PostgreSQL Olaylarından günlük iletilerini almak için şu adımları izleyin:

1. Tablo adı: PostgreSQL_CL

2. Günlük depolama konumu: Günlükler, uygulamanın konak makinesinde metin dosyaları olarak depolanır. Dosyaları toplamak için AMA'yi aynı makineye yükleyin.

   Varsayılan dosya konumları ("filePatterns"):

   • Windows: "C:\*.log"
   • Linux: "/var/log/*.log"

3. DCR'yi Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma başlığı altında verilen yönergelere göre oluşturun.

   DCR şablonundaki {TABLE_NAME} ve {LOCAL_PATH_FILE} yer tutucularını 1. ve 2. adımlardaki değerlerle değiştirin. Diğer yer tutucuları yönlendirilmiş olarak değiştirin.

4. Günlükleri dosyalara çıkarmak için PostgreSQL Olayları yapılandırma dosyasını postgresql.conf düzenleyin.

   1. Ayarlamak log_destination='stderr'
   2. Ayarlamak logging_collector=on
   3. Daha fazla parametre ve ayrıntı için PostgreSQL belgelerine bakın.

Başa dön

SAP için SecurityBridge Tehdit Algılama

SAP için SecurityBridge Tehdit Algılama'dan günlük iletilerini almak için şu adımları izleyin:

1. Tablo adı: SecurityBridgeLogs_CL

2. Günlük depolama konumu: Günlükler, uygulamanın konak makinesinde metin dosyaları olarak depolanır. Dosyaları toplamak için AMA'yi aynı makineye yükleyin.

   Varsayılan dosya konumları ("filePatterns"):

   • Linux: "/usr/sap/tmp/sb_events/*.cef"

3. DCR'yi Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma başlığı altında verilen yönergelere göre oluşturun.

   DCR şablonundaki {TABLE_NAME} ve {LOCAL_PATH_FILE} yer tutucularını 1. ve 2. adımlardaki değerlerle değiştirin. Diğer yer tutucuları yönlendirilmiş olarak değiştirin.

Başa dön

SquidProxy

Günlük iletilerini SquidProxy'den almak için şu adımları izleyin:

1. Tablo adı: SquidProxy_CL

2. Günlük depolama konumu: Günlükler, uygulamanın konak makinesinde metin dosyaları olarak depolanır. Dosyaları toplamak için AMA'yi aynı makineye yükleyin.

   Varsayılan dosya konumları ("filePatterns"):

   • Windows: "C:\Squid\var\log\squid\*.log"
   • Linux: "/var/log/squid/*.log"

3. DCR'yi Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma başlığı altında verilen yönergelere göre oluşturun.

   DCR şablonundaki {TABLE_NAME} ve {LOCAL_PATH_FILE} yer tutucularını 1. ve 2. adımlardaki değerlerle değiştirin. Diğer yer tutucuları yönlendirilmiş olarak değiştirin.

Başa dön

Ubiquiti UniFi

Ubiquiti UniFi'den günlük iletilerini almak için şu adımları izleyin:

1. Tablo adı: Ubiquiti_CL

2. Günlük depolama konumu: Dış syslog sunucunuzda bir günlük dosyası oluşturun. Dosyaya syslog daemon yazma izinleri verin. Henüz yüklü değilse ama'yi dış syslog sunucusuna yükleyin. Bu dosya adını ve yolu bağlayıcıdaki Dosya deseni alanına veya DCR'deki yer tutucunun {LOCAL_PATH_FILE} yerine girin.

3. Syslog daemon'ını Ubiquiti günlük iletilerini geçici bir metin dosyasına aktaracak şekilde yapılandırın, böylece AMA bunları toplayabilir.

   • rsyslog
   • syslog-ng

   1. klasörde rsyslog daemon /etc/rsyslog.d/ için aşağıdaki filtreleme koşullarıyla özel yapılandırma dosyası oluşturun:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Değerini, temsil edilen nesnelerin gerçek adlarıyla değiştirin<parameters>. <> LOG_FILE_NAME, 2. adımda oluşturduğunuz dosyadır.)

   2. rsyslog'un yeniden başlatılması. Tipik komut söz dizimi şeklindedir systemctl restart rsyslog.

4. DCR'yi Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma başlığı altında verilen yönergelere göre oluşturun.

   • Sütun adını sütun adıyla "RawData" "Message"değiştirin.

   • transformKql değerini değeriyle "source" "source | project-rename Message=RawData"değiştirin.

   • {TABLE_NAME} DCR şablonundaki ve {LOCAL_PATH_FILE} yer tutucularını 1. ve 2. adımlardaki değerlerle değiştirin. Diğer yer tutucuları yönlendirilmiş olarak değiştirin.

5. Syslog bağlantı noktalarını açmak için Azure İzleyici Aracısı'nın yüklü olduğu makineyi yapılandırın ve syslog daemon'unu dış kaynaklardan gelen iletileri kabul etmek üzere yapılandırın. Bu yapılandırmayı otomatikleştirmeye yönelik ayrıntılı yönergeler ve betik için bkz . Günlük ileticisini günlükleri kabul etmek üzere yapılandırma.

6. Ubiquiti denetleyicisini yapılandırın ve bağlayın.

   1. Syslog'u etkinleştirmek ve isteğe bağlı olarak günlüklerde hata ayıklamak için Ubiquiti tarafından sağlanan yönergeleri izleyin.
   2. Ayarlar > Sistem Ayarları Denetleyicisi > Yapılandırması > Uzaktan Günlüğe Kaydetme'yi seçin ve syslog'ı etkinleştirin.

Başa dön

VMware vCenter

VMware vCenter'dan günlük iletilerini almak için şu adımları izleyin:

1. Tablo adı: vcenter_CL

2. Günlük depolama konumu: Dış syslog sunucunuzda bir günlük dosyası oluşturun. Dosyaya syslog daemon yazma izinleri verin. Henüz yüklü değilse ama'yi dış syslog sunucusuna yükleyin. Bu dosya adını ve yolu bağlayıcıdaki Dosya deseni alanına veya DCR'deki yer tutucunun {LOCAL_PATH_FILE} yerine girin.

3. Syslog daemon'ını vCenter günlük iletilerini geçici bir metin dosyasına aktaracak şekilde yapılandırın; böylece AMA bunları toplayabilir.

   • rsyslog
   • syslog-ng

   1. Yönerge bölümünden önce aşağıdaki şablon satırını eklemek için yapılandırma dosyasını /etc/rsyslog.conf düzenleyin:

      $template vcenter,"%timestamp% %hostname% %msg%\ n"

   2. Rsyslog daemon için özel yapılandırma dosyası oluşturun ve aşağıdaki filtreleme koşullarına göre /etc/rsyslog.d/10-vcenter.conf kaydedilir:

      if $rawmsg contains "vpxd" then {
          action(type="omfile" file="/<LOG_FILE_NAME>")
          stop
      }
      if $rawmsg contains "vcenter-server" then { 
          action(type="omfile" file="/<LOG_FILE_NAME>") 
          stop 
      } 
      

      (değerini, oluşturduğunuz günlük dosyasının adıyla değiştirin <LOG_FILE_NAME> .)

   3. rsyslog'un yeniden başlatılması. Tipik komut söz dizimi şeklindedir sudo systemctl restart rsyslog.

4. DCR'yi Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma başlığı altında verilen yönergelere göre oluşturun.

   • Sütun adını sütun adıyla "RawData" "Message"değiştirin.

   • transformKql değerini değeriyle "source" "source | project-rename Message=RawData"değiştirin.

   • {TABLE_NAME} DCR şablonundaki ve {LOCAL_PATH_FILE} yer tutucularını 1. ve 2. adımlardaki değerlerle değiştirin. Diğer yer tutucuları yönlendirilmiş olarak değiştirin.

   • dataCollectionEndpointId, DCE'nizle doldurulmalıdır. Yoksa yeni bir tane tanımlayın. Yönergeler için bkz . Veri toplama uç noktası oluşturma.

5. Syslog bağlantı noktalarını açmak için Azure İzleyici Aracısı'nın yüklü olduğu makineyi yapılandırın ve syslog daemon'unu dış kaynaklardan gelen iletileri kabul etmek üzere yapılandırın. Bu yapılandırmayı otomatikleştirmeye yönelik ayrıntılı yönergeler ve betik için bkz . Günlük ileticisini günlükleri kabul etmek üzere yapılandırma.

6. vCenter cihazlarını yapılandırın ve bağlayın.

   1. Syslog iletileri göndermek için VMware tarafından sağlanan yönergeleri izleyin.
   2. Azure İzleyici Aracısı'nın yüklü olduğu makinenin IP adresini veya ana bilgisayar adını kullanın.

Başa dön

Zscaler Private Access (ZPA)

Zscaler Özel Erişimi'nden (ZPA) günlük iletilerini almak için şu adımları izleyin:

1. Tablo adı: ZPA_CL

2. Günlük depolama konumu: Dış syslog sunucunuzda bir günlük dosyası oluşturun. Dosyaya syslog daemon yazma izinleri verin. Henüz yüklü değilse ama'yi dış syslog sunucusuna yükleyin. Bu dosya adını ve yolu bağlayıcıdaki Dosya deseni alanına veya DCR'deki yer tutucunun {LOCAL_PATH_FILE} yerine girin.

3. Syslog daemon'ını ZPA günlük iletilerini geçici bir metin dosyasına aktaracak şekilde yapılandırın, böylece AMA bunları toplayabilir.

   • rsyslog
   • syslog-ng

   1. klasörde rsyslog daemon /etc/rsyslog.d/ için aşağıdaki filtreleme koşullarıyla özel yapılandırma dosyası oluşturun:

       # Define a new ruleset
      ruleset(name="<RULESET_NAME>") { 
          action(type="omfile" file="<LOG_FILE_NAME>") 
      } 
      
       # Set the input on port and bind it to the new ruleset 
      input(type="imudp" port="<PORT>" ruleset="<RULESET_NAME>") 
      

      (Değerini temsil edilen nesnelerin gerçek adlarıyla değiştirin <parameters> .)

   2. rsyslog'un yeniden başlatılması. Tipik komut söz dizimi şeklindedir systemctl restart rsyslog.

4. DCR'yi Azure İzleyici Aracısı ile metin dosyalarından günlükleri toplama ve Microsoft Sentinel'e alma başlığı altında verilen yönergelere göre oluşturun.

   • Sütun adını sütun adıyla "RawData" "Message"değiştirin.

   • transformKql değerini değeriyle "source" "source | project-rename Message=RawData"değiştirin.

   • {TABLE_NAME} DCR şablonundaki ve {LOCAL_PATH_FILE} yer tutucularını 1. ve 2. adımlardaki değerlerle değiştirin. Diğer yer tutucuları yönlendirilmiş olarak değiştirin.

5. Syslog bağlantı noktalarını açmak için Azure İzleyici Aracısı'nın yüklü olduğu makineyi yapılandırın ve syslog daemon'unu dış kaynaklardan gelen iletileri kabul etmek üzere yapılandırın. Bu yapılandırmayı otomatikleştirmeye yönelik ayrıntılı yönergeler ve betik için bkz . Günlük ileticisini günlükleri kabul etmek üzere yapılandırma.

6. ZPA alıcısını yapılandırın ve bağlayın.

   1. ZPA tarafından sağlanan yönergeleri izleyin. Günlük şablonu olarak JSON'ı seçin.
   2. Ayarlar > Sistem Ayarları Denetleyicisi > Yapılandırması > Uzaktan Günlüğe Kaydetme'yi seçin ve syslog'ı etkinleştirin.

Başa dön

İlgili içerik

• Azure İzleyici Aracısı ile syslog ve CEF iletilerini Microsoft Sentinel'e alma
• Microsoft Sentinel için AMA bağlayıcıları aracılığıyla AMA ve Ortak Olay Biçimi (CEF) aracılığıyla Syslog